crates.io: 악성 크레이트 evm-units 및 uniswap-utils

Source: Rust Blog

요약

2025년 12월 2일, crates.io 팀은 Socket Threat Research Team의 Olivia Brown으로부터 두 개의 악성 크레이트가 페이로드를 다운로드하여 암호화폐를 탈취하려는 시도로 보인다는 통보를 받았습니다.

• evm-units – 2025년 4월에 13버전이 공개되었으며, 다운로드 수는 7,257회
• uniswap-utils – 2025년 4월에 14버전이 공개되었으며, 다운로드 수는 7,441회, evm-units를 의존성으로 사용

취한 조치

사용자 ablerust는 즉시 비활성화되었으며, 해당 크레이트는 곧바로 crates.io에서 삭제되었습니다. 악성 크레이트 파일은 추가 분석을 위해 보관되었습니다.

삭제 작업은 2025년 12월 2일 22:01 UTC에 수행되었습니다.

분석

Socket이 블로그 게시물에서 분석을 공개했습니다.

이 크레이트들은 crates.io에 하위 의존 크레이트가 전혀 없었습니다.

감사

크레이트를 보고해 주신 Socket Threat Research Team의 Olivia Brown에게 감사드립니다. 또한 대응에 도움을 주신 crates.io 팀의 Carol Nichols와 Rust Foundation의 Walter Pearce, Adam Harvey에게도 감사의 말씀을 전합니다.